目录
3、在fw1上使用ping -a 172.16.2.1 172.16.2.2
2、Tunnel接口(GRE接口)的作用是什么?什么是隧道源接口和目的接口?
3、Tunnel接口的IP地址作用是什么?隧道两端的IP地址是否必须配置成同一网段?
5、多个Tunnel接口(GRE接口)是否可以使用同一个源IP地址?
一些概念
gre:通用路由封装,三层pn封装技术。解决跨异种网络的报文传输问题。
封装分为两步,第一步是为原始报文添加gre头,第二步是在gre头前面再加新的ip头,加上新的ip头后,就可以在新的网络上传输了。
gre的封装是通过逻辑接口tunnel完成的,这个接口是一个通用的隧道接口,所以需要设置接口的封装协议。
实验一:配置基于静态路由的GRE隧道
需求和拓扑
FW_A和FW_B通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,通过在两台FW之间建立GRE隧道实现两个私有IP网络互联。
操作步骤
1、配置接口地址和安全区域
2、配置静态路由
3、设置安全策略默认全通
4、测试是否可通
5、配置gre
5.1 配置tunnel隧道接口
//f1
interface Tunnel1
ip address 172.16.2.1 255.255.255.0
tunnel-protocol gre
source 1.1.1.1//源目隧道地址是公网地址
destination 5.5.5.5
gre key cipher 123456
//f2
interface Tunnel1
ip address 172.16.2.2 255.255.255.0
tunnel-protocol gre
source 5.5.5.5//源目隧道地址是公网地址
destination 1.1.1.1
gre key cipher 123456
为了提高GRE的安全性,隧道双方支持对对端设备的身份验证。建立隧道的双方事先约定好一个密钥,在传输GRE报文的时候,该密钥信息会被封装到GRE头中,接收端在收到GRE报文时会用自己的密钥和报文中的密钥进行比对。密钥一致则验证通过;密钥不一致,则表示对方身份不合法,丢弃此报文。
5.2 将tunnel接口加入安全区域dmz
firewall zone dmz
add interface Tunnel1
5.3 配置到达对端私网的路由走tunne隧道
//f1
ip route-static 10.1.2.0 24 Tunnel 1
//f2
ip route-static 10.1.1.0 24 Tunnel 1
5.4 配置f1和f2之间公网静态路由,保证公网接口可达(很重要,否则看不到路由表中的隧道路由,官方文档中没有提及这个)
//f1
ip route-static 5.5.5.5 255.255.255.255 1.1.1.2
//f2
ip route-static 1.1.1.1 255.255.255.255 5.5.5.2
//r1
本环境中r1始终没有配置静态路由,实际组网中,只需要保证fw1和fw2的公网接口地址可达即可,本环境中因为和fw1和fw2是直连,所以不需要配置。
6、配置安全区域
//f1f2
security-policy
rule name 1
//配置Trust域和DMZ的域间安全策略,允许封装前的报文通过域间安全策略。
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
action permit
rule name 2
//配置Local和Untrust的域间安全策略,允许封装后的GRE报文通过域间安全策略。
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
service gre
action permit
从原始报文进入GRE隧道开始,到GRE报文被FW转出,这个过程报文跨越了两个域间关系(trust---dmz,local--untrust)。由此可以将GRE报文所经过的安全域看成两个部分,一个是原始报文进入GRE隧道前所经过的安全域,一个是报文经过GRE封装后经过的安全域。注意我们配置了Tunnel接口属于DMZ区域。
PC_A发出的原始报文进入Tunnel接口这个过程中,报文经过的安全域间是Trust—>DMZ;原始报文被GRE封装后,FW_A在转发这个报文时,报文经过的安全域间是Local—>Untrust。匹配安全策略1.
当FW_A发出的GRE报文到达FW_B时,FW_B会进行解封装。在此过程中,报文经过的安全域间是Untrust—>Local;GRE报文被解封装后,FW_B在转发原始报文时,报文经过的安全域间是DMZ—>Trust。匹配安全策略2.
这是单向通道,只能放行从PC